Tagarchief: beveiliging

Security Paradigma 3

Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).

Security Paradigma: Standaardisatie versus Creativiteit

Het oude paradigma zegt dat de kwetsbaarheidsanalyse volgens en vaste procedure en aan de hand van vastgestelde prestatie-eisen moet gebeuren. Het proces en de resultaten moeten objectief en reproduceerbaar zijn. Zo moet bijvoorbeeld een gebouwschil aantoonbaar braakwerend zijn (denk hierbij aan gecertificeerde gevels en gevelelementen met BORG-B weerstandstijden van 3, 5 of 10 minuten). Of wachtwoorden die minstens 4 verschillende tekens moeten bevatten (hoofdletter, kleine letter, cijfer en leesteken) en periodiek (per maand of kwartaal) gewijzigd moeten worden. De vereiste maatregelen zijn bijvoorbeeld in security baselines vastgelegd. Daar waar de beveiliging niet aan dergelijke objectieve eisen voldoet wordt een kwetsbaarheid gesignaleerd die naar aanleiding van het te beschermen belang ook een mate van risico kan vormen. De kwetsbaarheden met de hoogste risico’s moeten vervolgens worden gerepareerd.


Het nieuwe paradigma legt de nadruk op het beschouwen van de gerealiseerde beveiliging vanuit het perspectief van de ‘aanvaller’. De kwetsbaarheidsanalyse probeert dus de zwaktes van de organisatie te identificeren die door kwaadwillenden kunnen en wellicht zullen worden misbruikt. Van de betrokken security professionals wordt daarbij vooral gevraagd of hij zich kan verplaatsen in die aanvallers. Deze professional moet daarom een actueel beeld van en voldoende inlevingsvermogen in die potentiële aanvallers hebben. Niet van één of enkele, niet van de uitzondering maar van de meest waarschijnlijke aanvallers. De professional kijkt dus naar de organisatie vanuit de ogen van de geïnteresseerde, creatieve en adaptieve kwaadwillenden en ontdekt zo reële aanvalsopties die wellicht mitigatie behoeven.
Ook bij deze, wellicht meer subjectieve en intuïtieve benadering van security kunnen vastgestelde procedures, normatieve kaders en aandachtspuntenlijsten het analyseproces ondersteunen en versterken. De nadruk ligt echter op de details van de lokale situatie die door kwaadwillenden succesvol kunnen worden misbruikt.

Deel deze pagina met anderen, thanks!

Risicoanalyse

Handreiking Integrale Risicoanalyse

Risico’s en risicoanalyse horen bij ondernemen. Maar grote risico’s en verassingen moeten worden voorkomen. Daarom dient een bedrijf steeds zicht te hebben op haar risico’s. Dat inzicht motiveert om de juiste mitigerende maatregelen te treffen. En is de basis voor een verantwoorde investering in beveiliging en bedrijfscontinuïteit.

Een risicoanalyse kan dit inzicht opleveren. Daarom werken wij met een valide en gedocumenteerde onderzoeksmethodiek die de scenarioanalyse centraal stelt. Deze erkende methode hebben wij al vaak toegepast. Vraag ons gerust om referenties.

De risicoanalyse bestaat uit de volgende onderdelen:

• Belangen- en afhankelijkheidsanalyse: wat kunnen effecten van incidenten zijn (ook wel Impact Assessment genoemd)
• Dreigingsanalyse: wie kunnen een realistische bedreiging vormen en wat doen zij (ook wel Threat Assessment genoemd)
• Kwetsbaarheidsanalyse: hoe effectief is de beveiliging en waar is de organisatie nog kwetsbaar voor deze dreigingen (ook wel Vulnerability Assessment genoemd)
• Risicoweging: wat is de omvang en samenhang van de verschillende risico’s (ook wel Risk Assessment genoemd)

Niet alle risico’s kunnen worden uitgesloten. Beheersing van risico’s houdt daarom ook het accepteren van de restrisico’s in.

Graag ondersteunen wij u bij het inventariseren en waarderen van de risico’s van uw organisatie.

Onze Integrale Risicoanalyse Methodiek vindt u hier:

Handreiking op Lulu.com (reader)

Handreiking op Google.Play (PDF)

Deel deze pagina met anderen, thanks!

Handreiking voor Security Afstemming met de Omgeving

Beveiligingsadvies en afspraken

Organisaties zijn zelf verantwoordelijk voor het organiseren van hun veiligheid en beveiliging. Daarom hebben organisaties die hun verantwoordelijkheid nemen Security Afstemming in hun  Security Management Systeem (SMS) ingericht.

Een essentieel onderdeel van een SMS is een goede communicatie en coördinatie over beveiliging met externe partijen. Het gaat hierbij om afstemming van maatregelen vóór, tijdens en na incidenten. En het vaststellen van heldere taken en verantwoordelijkheden: wie gaat wat doen. 

Het decentrale gezag kan ook beveiligingsmaatregelen treffen. Bewaken en beveiligen is immers onderdeel van de politietaak.

Afspraken over beveiliging - Plan ESA EBO

Met deze handreiking kunnen organisaties hun beveiliging verder verbeteren. Samen met particuliere beveiligingsorganisaties en overheden kunnen zij afspraken maken over het:

  • afstemmen van getroffen maatregelen
  • opschalen en afschalen van tijdelijke beveiligingsmaatregelen
  • gecoördineerde reactie op incidenten

Plan Externe Security Afstemming (ESA)

De gemaakte afspraken worden vastgelegd in een afstemmingsplan. Het plan Externe Security Afstemming  gaat over de afstemming van de eigen maatregelen met de op de security gerichte maatregelen van security dienstverleners en andere partijen in de omgeving.

Deze handreiking is een hulpmiddel voor het afstemmen en vastleggen van deze afspraken en het treffen en voorbereiden van concrete beveiligingsmaatregelen.

Deze handreiking is bestemd voor security professionals, particuliere beveiligingsorganisaties, afdeling Openbare orde en Veiligheid, afdelingen Crisisbeheersing, bureau Conflict- en Crisisbeheersing (CCB) en de wijkteams van de politie.

lulu-uitgever-SMS-Norm- Vind hier uw handreiking (boekje) op Lulu.com

 

Deel deze pagina met anderen, thanks!